Viktigt angående nya dataskyddslagen GDPR

Lystring arrangörer och föreningsmänniskor! Den 25 maj 2018 träder den nya dataskyddslagen GDPR i kraft. Lagen påverkar hur alla organisationer hanterar personuppgifter och den innebär en hel del förändringar. Den nya lagen påverkar bland annat hur personuppgifter samlas in, lagras, används, delas och destrueras. Varje steg måste dokumenteras och individen har rätt att bestämma exakt hur deras uppgifter ska hanteras. De böter som följer ett brott mot GDPR vill ni inte råka ut för!

Våra kollegor på riksförbundet Svensk Jazz har sammanställt ett material på deras hemsida med nyttiga länkar angående detta som gärna kan konsulteras. Det finns också en pedagogisk guide att ta del av på nätet.

Redan nu är det dags att inom era föreningar förbereda er på följande:

  1. Kartlägg och dokumentera era data. Ni har sannolikt olika personuppgifter på olika ställen, i mail, i filer, i medlemsregister, i kunddatabaser etc. Ni behöver kartlägga och dokumentera hur t ex anställdas, medlemmars och/eller kunders personuppgifter hanteras. Det innefattar vilken typ av information ni har tillgång till, vilka personer och funktioner som har tillgång till den samt i vilka system och databaser den faktiskt finns. Dokumentationen är även viktig om tillsynsmyndigheten skulle genomföra en granskning, för att kunna visa på vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven. Det gäller att kunna visa att ni aktivt tar ansvar för att följa lagen.
  2. Se över vilken data ni har som redan är godkänd. Exempelvis data där individer godkänt ett nyhetsbrev. Den data som inte är godkänd är den som ni behöver se över. För att kunna ha en persons uppgifter i ett register kräver den nya lagen ett skriftligt eller muntligt samtycke. Att en person inte protesterat när den lagts till i en nyhetsbrevlista, dvs ”tyst samtycke”, räcker inte.
  3. Se till att medlemsregistret är uppdaterat enligt nya lagen. Dessa lagregler är viktiga att känna till:

    Medlemmar: Lagen ger en förening rätt att spara en medlem som slutat i 24 månader, för att ge föreningen möjlighet att värva den tillbaka. Men efter 24 månader ska den raderas helt ur systemet.

    Arbetstagare:
    Personuppgifter om en anställd bör inte bevaras efter det att denne har slutat. Men ibland måste vissa uppgifter bevaras under en längre tid, till exempel om andra lagar kräver det. Arbetsgivaren får också behålla uppgifter under den tid som en tvist med en tidigare anställd kan bli aktuell. Det kan också vara nödvändigt att bevara vissa uppgifter för administrativa ändamål, till exempel utbetalning av pension från arbetsgivaren eller om man ska lämna referenser till andra arbetsgivare. Arbetsgivaren får bevara rena faktauppgifter som ”uppsägning på grund av arbetsbrist”, ”avsked” och ”uppsägning på grund av personliga skäl” samt betyg och tjänstgöringsintyg med omdömen som arbetsgivaren har gett till arbetstagaren efter det att anställningsförhållandet har upphört. När en anställning upphör finns det i regel ingen grund för att spara e-postkontot och uppgifterna om en anställd på företagets webbplats och de ska då tas bort inom en rimlig tid, i normala fall inom en månad.

    Arbetssökande: Personuppgifter i en ansökan, intervjuanteckningar och uppgifter från referenser bör normalt gallras bort när anställningsförfarandet har avslutats. Arbetsgivaren får dock bevara uppgifterna så länge den sökande till exempel har möjlighet att överklaga beslutet om att denne inte fick jobbet. Vill arbetsgivaren använda uppgifterna längre, till exempel för framtida rekrytering, måste den arbetssökande informeras och samtycka till fortsatt registrering.

Nu består inte RANKs föreningsliv av så många anställningsförfaranden eller tjocka medlemsregister. Men det är viktigt att vara införstådd i detta som förening och officiell aktör. Det handlar verkligen om genomgripande ändringar av hur våra kanslier får se ut och för äldre föreningar hög tid att se till rensa överflödiga, sedan decennier obsoleta, data.

 

Share this…

Rulla till toppen